DHCP-Adresspool nur für VPN-Clients?

karl stülpner

Neuer User
Mitglied seit
23 Sep 2016
Beiträge
65
Punkte für Reaktionen
1
Punkte
6
Zur VPN-Konfiguration muss ja ein DHCP Adresspool angelegt bzw. wenn schon vorhanden, dann angegeben werden. Nun habe ich das Problem, das sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren. Ich möchte aber, das nur die VPN-Clients (Android-Geräte) diesen Pool nutzen können. Für die lokalen Geräte wird ein separater Adressbereich angelegt. Geht das irgendwie?
 
Klar, denn ein DHCP - Pool wird ja einer Schnittstelle zugeordnet. Und die definierten VPN - Verbindungen sind dabei eine auswählbare Schnittstelle.
 
Zur VPN-Konfiguration muss ja ein DHCP Adresspool angelegt bzw. wenn schon vorhanden, dann angegeben werden.

Nicht unbedingt. Je nachdem, wie viele Clients es sind, ist auch eine statische Adressvergabe vom Aufwand her überschaubar und gut machbar.
 
Klar, denn ein DHCP - Pool wird ja einer Schnittstelle zugeordnet. Und die definierten VPN - Verbindungen sind dabei eine auswählbare Schnittstelle.
Wo kann ich die VPN-Verbindungen denn als schnittstelle auswählen? Bei "lokale Dienste -> DHCP-Server" kann ich irgendwie nichts finden.

Nicht unbedingt. Je nachdem, wie viele Clients es sind, ist auch eine statische Adressvergabe vom Aufwand her überschaubar und gut machbar.
Da sich die Clients in überschaubaren Größenordnungen halten (aktuell nur 2 Android-Handies) habe ich kein Problem mit einer staitschen Adresse. Im Idealfall sogar die, die das Gerät auch im lokalen Netz hat (falls das geht). Ich habe jetzt mal bei den IPSec-Peers unter "IPv4-Schnittstellenrouten" die Adressvergabe auf statisch gesetzt und eine IP-Adresse eingetragen, allerdings kann sich das Handy dann nicht mehr einwählen.
 
Nun habe ich das Problem, das sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren. Ich möchte aber, das nur die VPN-Clients (Android-Geräte) diesen Pool nutzen können. Für die lokalen Geräte wird ein separater Adressbereich angelegt.

Schau mal, ob Du bei deinem DHCP-Server wie auf dem Bild unten Adressbereiche von der Verteilung ausschließen kannst.

dhcp.jpg
Zur Erläuterung des Fotos:
Grundsätzlich stehen bei mir die Adressen 192.168.0.1 bis 192.168.0.250 für die Verteilung zur Verfügung.
Da ich jedoch statische IPs bevorzuge, nehme ich einen Großteil der IPs (192.168.0.1 bis 192.168.0.170, die sind für die statischen IPs) von der Verteilung von vornherein gleich wieder aus.
192.168.0.240 bis 192.168.0.249 habe ich später zusätzlich ausgenommen, da ich diesen Bereich bei der be.ip plus bei VPN eingetragen habe.
Der klägliche Rest an dynamisch verteilbaren IPs bleibt dann für alle Geräte, die - jedenfalls derzeit noch - keine statische IP bekommen haben.
 
Unter "DHCP-Server" -> DHCP-Konfiguration stehen alle Schnittstellen denen ein DHCP - Pool zugeordnet ist.
In diesem Menu kann man auch einen Eintrag mit dem VPN-Zugang als Schnittstelle anlegen und den IP-Poolnamen zuordnen.
 
Schau mal, ob Du bei deinem DHCP-Server wie auf dem Bild unten Adressbereiche von der Verteilung ausschließen kannst.
Hallo Werner, das Menu ist aber nicht von einer be.IP plus, oder? Sowas hab ich jedenfalls nicht.

Unter "DHCP-Server" -> DHCP-Konfiguration stehen alle Schnittstellen denen ein DHCP - Pool zugeordnet ist.
In diesem Menu kann man auch einen Eintrag mit dem VPN-Zugang als Schnittstelle anlegen und den IP-Poolnamen zuordnen.
Hallo Kalle, genau dort hatte ich geschaut, ob man eine Schnittstelle zuweisen kann, in der Liste stand jedoch nur die br0. Da ich sowieso komische Probleme mit der Anlage habe, habe ich einen Factory-Reset gemacht und dann die vorher gesicherte Konfiguration zurückgespielt. Und siehe da, jetzt kann ich unter Schnittstellen auch das VPN auswählen.

...dafür geht die firewall jetzt nicht mehr. :-(
 
Mit dem Einspielen der gesicherten Konfiguration hast du ja auch den alten Zustand wiederhergestellt.
 
Ja, das hab ich mir dann auch gedacht. Also hab ich jetzt nochmals factory reset gemacht und die groben Telefoniefunktionen konfiguriert, damit ic hwenigstens erreichbar. Ein kurzer Test der firewall brachte jedoch das gleiche Ergebnis wie vorher - funktioniert nicht.
Test:
- Adresse eines Netzwerkgerätes eingerichtet
- Quelle -> diese Adresse
- Ziel -> WAN Telekom
- Dienst -> any
- Zugriff -> verweigern
ergebnis: Gerät kommt immer noch ins internet
 
Hallo Werner, das Menu ist aber nicht von einer be.IP plus, oder? Sowas hab ich jedenfalls nicht.
Nein, das ist der DHCP-Server auf einem Windows-Server (Windows Home Server 2011). Ich wollte damit nur vom Prinzip her verdeutlichen, dass alle IP-Adressen, die nicht explizit von der Verteilung ausgeschlossen werden, nach Lust und Laune des DHCP-Servers irgendwelchen Clients (PCs, Smartphones, Waschmaschinen, usw.) dynamisch zugeteilt werden. Denn du hast ja geschrieben, dass bei dir "sich in diesem Adresspool auch normale Geräte aus dem lokalen Netzwerk registrieren".

Sorry, falls ich zu deiner Verwirrung beigetragen habe. Ich nehme an, dass es beim DHCP-Server der be.ip plus, den ich mir allerdings nie näher angeschaut habe, ebenfalls eine Funktion gibt, mit der man IP-Adressen von der allgemeinen dynamischen Verteilung ausschließen kann. Allerdings könnte es auch so sein, dass ein unter VPN eingetragener IP-Bereich automatisch beim DHCP-Server der be.ip plus zu einem gesperrten Bereich wird, ohne diesen dort (bei DHCP-Server) nochmals explizit ausschließen zu müssen.

Soweit meine Annahmen, als ich Dir hier geschrieben hatte.

Wenn ich mir das nun ansehe in meiner Anlage schaut das unter VPN so aus:

vpn.JPG

Ich erinnere mich, den Bereich 192.168.0.240 - 192.168.0.249 so auch explizit selbst eingetragen zu haben. Der andere Bereich ist m.E. das WLan-Gastnetz.

Wenn ich nun die DHCP-Konfiguration aufrufe (ohne dass der dortige Server nun aktiv wäre, wobei ich nicht mal weiß, wie das ginge), finde ich diesen reservierten Bereich dort (m. W. automatisch) als ausgeschlossenen Bereich eingetragen vor:

dhcp.JPG

Damit ist sichergestellt, dass der DHCP-Server die IPs aus dem Bereich 192.168.0.240 - 192.168.0.249 nicht an deine Waschmaschine oder Deine Spielkonsole oder sonstwohin, sondern nur an VPN-Clients vergibt.

Da ich, wie gesagt, einen separaten DHCP-Server verwende, muss ich den Bereich natürlich DORT ausschließen.

Schau Dir mal unter
https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-iphone-uebervpn.pdf
die Anleitung an, auch wenn die Anleitung sich auf eine alte Benutzeroberfläche (der insoweit vergleichbaren Digitalisierungsbox der Telekom) bezieht, das Prinzip ist das gleiche. Insbesondere S. 3 des PDFs, da steht was über den IP-Adresspool für die Einwahl-Clients.
 
Zuletzt bearbeitet:
Hallo Werner, ja so sieht das jetzt bei mir auch aus. Inzwischen weiß ich auch, in welcher Reihenfolge die Adresspools angelegt werden müssen - nachträglich Schnittstelle ändern geht ja nicht.
VPN funktioniert jetzt wieder, ich kann auf die Login-Seite der be.ip zugreifen. Allerdings wars das dann auch - auf andere lokale Geräte (NAS, Fritte etc.) kann ich nicht zugreifen. Was ist da schon wieder falsch?
 
Hallo karl stülpner,

das liegt wahrscheinlich am fehlenden Proxy ARP.
Wenn du für die VPN-Client Einwahl denselben IP-Bereich gewählt hast, den du auch im LAN verwendest, dann versuchen Netzwerkteilnehmer in deinem LAN (für die Antwort) eine ARP Auflösung um im Layer 2 zu kommunizieren. Da IPSec im Layer 3 aufsetzt (Routing) muss hier die be.IP im LAN für den eingewählten Client antworten.
Bitte sowohl auf der LAN Schnittstelle (br0) als auch am IPSec Tunnel Proxy-ARP aktivieren.
Findest du jeweils unter den erweiterten Einstellungen.

Vorsicht: Niemals Proxy-ARP auf der Schnittstelle über die die Default Route zeigt (also z.B. dein WAN-Partner 30010001) aktivieren!

Gruß

MvmmgdA
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.